Tutorial et Guide System Safety Monitor

Tutorial System Safety Monitor


System Safety Monitor est un HIPS (voir papier sur les IDS/HIDS).
System Safety Monitor comme son nom l’indique scrute votre système afin de détecter tout changement ou activité suspecte.
Lorsqu’un élément douteux est détecté, vous avez la possibilité de stopper l’activité, ce qui permet dans le cas d’une tentative d’infection de stopper l’infection avant son installation.

System Safety Monitor un peu comme un firewall, lorsqu’une activité suspecte est détectée ou une l’activié d’une nouvelle application, vous pouvez autoriser ou non l’activité de l’application, vous pouvez ajouter des règles au fur et à mesure afin d’éduquer System Safety Monitor et qu’il ne vous repose plus de questions concernant telle ou telles application.

Enfin System Safety Monitor existe en version Free c’est à dire gratuite et en langue française !

Sommaire

  1. Tutorial System Safety Monitor
    1. Sommaire
    2. Installation de Systel Safety Monitor
    3. Premier démarrage de System Safety Monitor
    4. Eduquer System Monitor System
    5. Présentation de System Safety Monitor
      1. Monitorer le processus
      2. Règles Application
      3. Pour aller plus loin dans les règles d’applications
      4. Onglet Module
      5. Générer un rapport d’évènements
    6. System Safety Monitor : En pratique…
      1. Infection Magic.Control
      2. Drop d’une infection via une faille de sécurité sur le navigateur WEB
      3. Rootkit Rustock
    7. Conclusion
    8. Liens

Installation de Systel Safety Monitor

Voici un lien à partir duquel vous pouvez télécharger System Safety Monitor : Télécharger System Safety Monitor
Prenez bien la version Free intitulé System Safety Monitor 2.0 Free Edition

  • Double-cliquez alors sur le fichier téléchargé.
  • Choisissez la langue (English) puis cliquez sur OK

Tutorial System Safety Monitor

  • La fenêtre d’installation s’ouvre alors…
  • Cliquez sur le bouton Next pour passer à l’étape suivante

Tutorial System Safety Monitor

  • Vous devez ensuite accepter les conditions d’utilisation du logiciel, pour cela, cliquez sur le bouton I accept the terms in the Licence Agreement
  • Cliquez sur le bouton Next pour passer à l’étape suivante

Tutorial System Safety Monitor

  • Choisissez dans quel dossier l’application sera instalél, on vous propose par défaut C:\Program Files\System Safety Monitor WE
  • Si vous désirez modifier le chemin, cliquez sur le bouton Browse pour naviguer dans vos dossiers et en créer un nouveau
  • Cliquez sur le bouton Next pour passer à l’étape suivante

Tutorial System Safety Monitor

  • On vous demande ensuite si vous désirez créer un dossier dans le menu Démarrer (première option cochée par défaut)
  • Un raccourci sur le bureau
  • Cochez les options que vous désirez puis cliquez sur le bouton Next pour passer à l’étape suivante

Tutorial System Safety Monitor

  • La copie des fichiers s’effectue..
 Tutorial System Safety Monitor
  • Lorsque la copie est terminée..
  • Cliquez sur le bouton Next pour passer à l’étape suivante

Tutorial System Safety Monitor

  • Il est necessaire de redémarrer l’ordinateur, laissez l’option Reboot Now cochée
  • Cliquez sur le bouton Finish pour redémarrer l’ordinateur

Tutorial System Safety Monitor

Tutorial System Safety Monitor
OK et si on passez en français !

Tutorial System Safety Monitor
Dans l’onglet Mise à jour, vous pouvez cocher l’option Vérifier les mises à jour au démarrage
Ceci permet de vérifier que System Safety Monitor est à jour.

Le programme de mise à jour se connecte sur un serveur et télécharge la mise à jour si existente.

 Tutorial System Safety Monitor
Au début de l’utilisation de System Monitor System, vous allez recevoir beaucoup d’alertes, tout comme vous en receviez avec votre pare-feu.
Cela peut être pénible, mais il faut garder à l’esprit que vous devez éduquer System Monitor System pour qu’il reconnaisse par la suite vos applications.

Au fur et à mesure du temps, les alertes se feront plus rares.
Soyez donc patient.

Les alertes d’activités que vous allez recevoir sont de ce type.
Vous avez plusieurs options au niveau de l’autorisation :

  • Autoriser l’action une fois
  • Autoriser l’exécution de cette application (System Safety Monitor crééra alors une règle autoriser).
  • Autoriser l’exécution de l’appication et de l’application parent (celle qui a lancé l’application).

A l’inverse vous pouvez bloquer :

  • l’exécution de l’application pour cettefois
  • l’exécution de l’application définitivement (System Safety Monitor crééra alors une règle refuser).
  • l’exécution de l’appication et de l’application parent (celle qui a lancé l’application).

Présentation de System Safety Monitor

La configuration de System Safety Monitor est accessible depuis le menu Préférecences du menu déroulant.

Monitorer le processus

L’onglet Monitorer le processus est l’équivalent du gestionnaître de tâches de Windows (pour plus d’informations sur les processus : Dossier sur les processus et les services Windows).
Les processus en cours d’exécution apparaissent sous forme d’arborescence.
Vous pouvez visualiser l’utilisation mémoire ainsi que l’utilisation processus. Notez qu’un petit graphique illustre l’utilisation CPU de chacun des processus, en passant la souris sur le graphique, vous pouvez l’aggrandir pour une meilleur lisibilité.

En effectutant un clic droit sur un processus, vous pouvez :

  • editer la règle à savoir modifier le comportant de System Safety Monitor en autorisant ou non l’exécution du processus.
  • Arreter l’exécution du processus (Terminer Processus).
  • Recalculer le MD5 (emprunte du fichier pour le reconnaître).
  • Démarrer un nouveau processus
  • Ouvrir les propriétés du fichier afin d’obtenir des informations
  • Liste les modules du processus – Ce sont en général les DLL utilisées par le processus

Le bouton Mode apprentissage permet d’activer le Learning Mode, System Safety Monitor va prendre alors les décisions à votre place lorsqu’il sera confronté à une nouvelle application.
Je vous conseille fortemment de ne pas activer cette option.. car il laisse passer certaines infections!!!

Tutorial System Safety Monitor
Règles Application

L’onglet Règles Application permet de modifier les règles utilisées par System Safety Monitor pour savoir quelles sont les actions à  effectuer lorsqu’une application est executée et aussi ce que l’application a ou non le droit de faire.

Les règles possibles à appliquer sont :

Pour modifier une règle, faites un clic droit sur le fichier puis Règles -> Autoriser ou Refuser.
Pour supprimer une règle, sélectionnez la règle dans la liste puis appuyer sur le bouton Suppr du clavier ou clic droit / Supprimer

Notez que les fichiers sont reconnus par leurs empreintes MD5 (d’où la colonne MD5) et non par leurs noms.. ce qui signifie que si le fichier est modifié (cela peut arriver suite à une mise à jour du logicielle/Windows ou suite à une infection).. System Safety Monitor le détectera et le fichier sera considéré comme « nouveau ».

Pour cela, il suffit de sélectionner le fichier, en bas dans l’onglet Loggin, cochez les évènements que vous souhaitez logguer.

Le bouton en bas à gauche Afficher les logs permet de visualiser le rapport, vous pouvez aussi voir les rapports à partir du menu déroulant de l’icône System Safety Monitor puis Afficher les logs Applications


Pour aller plus loin dans les règles d’applications

System Safety Monitor permet d’affinité de façon très précision les autorisations accordées à chaque processus.
Cette partie demande des connaissances systèmes.. je vous recommande de n’utiliser que les règles autoriser/refuser.

Cela se fait en effectuant un clic droit sur le fichier puis Permissions spéciales, celles-ci sont aussi accessibles en bas de la fenêtre des règles applications.

Les autorisations sont regroupées par thèmes :

Enfin en effectuant un clic droit puis Propriétés avancées sur une application, vous pouvez définir

Ces options sont très interressantes pour vérrouiller le système et améliorer grandement la sécurité de votre ordinateur.
En effet, prenons le cas des infections qui se propagent par mail. Ces dernières envoient des mails contenant des pièces jointes piégées.. si vous executez la pièce jointe, c’est l’infection.
Vous pouvez alors régler votre client de messagerie (par exemple Outlook Express) pour n’avoir le droit que de démarrer Internet Explorer (processus enfant) et aucune autre application.. ainsi l’exécution de nouvelle application à partir d’Oulook Express (et donc les pièces jointes piégées) sera impossible.

De même pour Internet Explorer, afin de ne pas se faire infecter via des failles de sécurités, vous pouvez autoriser internet explorer à ne démarrer que des logiciels comme Flash, Java, Google Toolbar et interdir le reste, ainsi aucune infection ne sera possible.

Tutorial System Safety Monitor
Onglet Module

L’onglet Module permet d’activer/désactiver et confirmer les modules supplémentaires de System Safety Monitor.
Les modules permettent de surveiller les modifications de certaines parties sensibles du système comme :

  • Certaines clefs sensibles du registre Windows, comme les clefs permettant de démarrer des programmes et qui sont utilisées par les malwares pour se charger au démarrage de l’ordinateur
  • Les fichiers INI Windows (Fichiers de configurations Windows) qui permettent aussi de charger des programmes (et donc des malwares) au démarrage de Windows
  • Le Menu Démarrer, certains spywares/adwares ajoutent des icônes
  • Les Services Windows utilisées par les malwares/rootkits
  • Internet Explorer le navigateur WEB inclus dans Windows, cela permet de le protéger contre les modifications (Hijack) comme la modification de la page de démarrage, de recherche, l’ajout de sites dans les zones de confiances etc..
  • La protection des fenêtres contre les fermetures, l’activation/désactivation et surtout la possibilité de cacher des fenêtres. Certaines applications ont pour but de cacher des fenêtres.. des infections se servent de ces programmes pour cacher des applications sur le système et permettant de les faire fonctionner à l’insu de l’utilisateur, c’est par exemple, le cas des clients IRC (notamment mIRC).. le client IRC tourne en fond, le pirate peut alors contrôler le système à partir de commandes spéciales transformant le PC en PC zombie.

Chacun des modules est paramétrable par exemple pour les clefs du registre, vous pouvez choisir les clefs à surveiller, en ajouter ou en supprimer.
De même pour Internet Explorer.
Vous pouvez activer/désactiver tous les modules en effectuant un clic droit sur les le menu de gauche puis désactiver/activer tous les modules.
Ceci est possible aussi à partir du menu déroulant System Safety Monitor puis Modules / Activer/Désactiver tous les modules.
Vous pouvez aussi cocher certains modules ou non pour en activer que quelques uns.
Dans la partie module le bouton, l’option en haut à droite Activer ce Module permet ou non de l’activer.

Concernant l’activation des modules, cela dépend de l’utilisation que vous faites de l’ordinateur.
Je vous conseille, par contre, très vivant d’activer le module Services car les malwares ajoutent beaucoup de services.

Enfin noter que le bouton en bas à gauche Montrer les alertes des modules permet de visualiser le journal des alertes.

Tutorial System Safety Monitor

Tutorial System Safety Monitor

System Safety Monitor : En pratique…

Voici quelques tests de la réaction de System Safety Monitor devant des tentatives d’installation d’infections
Ces tests ont été fait avec la version 2.0.8.584 donc les résultats peuvent changer dans les versions futures, notamment avec les versions commerciales qui elles ne sont pas bridées.
Rien n’est donc figé !

Infection Magic.Control

Lors de l’installation de MailSkionner, un des programmes responsables, des infections Magic.Control utilisant une technique de rootkits, System Safetyr Monitor a bien détecté l’installation du fichier aléatoire djfctyvmrh.exe.
L’utilisateur est donc averti de l’installation d’un fichier suspect (de par son nom), il est donc alors possible d’interdire son exécution.

Tutorial System Safety Monitor
Drop d’une infection via une faille de sécurité sur le navigateur WEB

Nous testons ensuite la consultation d’un site WEB qui installe une infection BraveSenty via une faille de sécurité sur le navigateur WEB.
Vous avez un exemple de ce que cela peut donner sur la page Le danger des cracks !

System Safety Monitor détecte bien lors de la consultation du site la tentative d’exécution du fichier C:xx123225.exe par le navigateur WEB (en haut IEXPLORE.EXE).
En utilisant la consigne « je sais pas ce que c’est que ce fichier, donc je l’execute pas ». Il convient donc de bloquer l’exécution du fichier si nous voulons pas infecter l’ordinateur.

Tutorial System Safety Monitor
S’ensuit un message d’erreur disant que le fichier C:xx123225.exe est introuvable.
System Safety Monitor a bien bloqué le fichier.
Tutorial System Safety Monitor
Rootkit Rustock

Rustock est l’un des rootkits les plus aboutis. Rustock est un rootkit kernel-mode qui installe un driver au sein du système.
Lors de l’installation de Rustock sur le système.. System Safety Monitor détecte bien

Tutorial System Safety Monitor

SSM bloque le driver du rootkit.. ce qui fait que ce dernier n’est pas actif, on le voit car la clef est visible depuis regedit ce qui signifie que le rootkit n’est pas actif pour la marquer.
Néanmoins, petit bémol car la clef existe bien ainsi que l’ADS (le driver montré par catchme).
Ce qui signifie que si SSM ne bloque pas le driver tout est bien en place pour que le rootkit rentre en fonction.

Tutorial System Safety Monitor

Au redémarrage on s’apperçoit qu’il existe en fait un service pe386 qui lui n’est pas bloqué par System Safety Monitor.
Gmer détecte le service.. on voit que la clef dans regedit n’est pas visible ‘en bas), alors que dans IceSword (en haut).. elle l’est.

Il semblerait que System Safety Monitor ne soit pas capable d’empécher l’installation de Rustock.

Tutorial System Safety Monitor

Conclusion

La verision Free de System Safety Monitor n’offre peut-être pas toutes les protections que ProcessGuard néanmoins étant gratuite, elle permet d’améliorer grandemment la sécurité de votre ordinateur.
Je vous conseillerai dans la mesure du possible de remplacer votre AntiSpyware par ce programme (ou ProcessGuard).

Afin une configuration complètement gratuite du type : Antivir + System Safety MonitorDropMyRights et un pare-feu de votre choix
Vous ne devriez plus avoir de problème, cela ne dispense pas d’avoir bien sûr une attitude vigilente sur internet et d’éviter les sites douteux!

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 97 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *